Bundesamt für Sicherheit in der Informationstechnik

Kernpunkte der Modernisierung

Die Modernisierung des IT-Grundschutzes zeichnet sich durch folgende Kernpunkte aus, die nachfolgend beschrieben werden:

  • Neue Vorgehensweisen
  • Neuausrichtung der IT-Grundschutz-Profile
  • Verschlankung der Bausteine

Neue Vorgehensweisen beim IT-Grundschutz

Als einen Kernpunkt der Modernisierung wird das BSI neue Wege bei der Vorgehensweise beschreiten. Abhängig davon, welche Ansätze zur Informationssicherheit bereits in der Institution vorhanden sind, kann es zweckmäßig sein, von der bekannten IT-Grundschutz-Methodik (zukünftig: "Standardabsicherung") zunächst abzuweichen. Beispielsweise kann sich eine Institution als Ziel setzen, zunächst möglichst flächendeckend alle Basis-Anforderungen umzusetzen ("Basisabsicherung"), um schnellstmöglich die größten Risiken zu senken, bevor die tatsächlichen Sicherheitsanforderungen im Detail analysiert werden. Ein anderer denkbarer Ansatz ist, sich zunächst auf den Schutz der essenziellen Werte der Institution („Kernabsicherung“) zu konzentrieren.

Wege zur Standardabsicherung Wege zur Standardabsicherung


Neuausrichtung der IT-Grundschutz-Profile

Ein weiterer Kernpunkt im IT-Grundschutz soll die Entwicklung von Profilen werden. Die modernisierten IT-Grundschutz-Profile sind als Schablonen zu verstehen, mit denen verschiedene Anwender(-gruppen) selbstständig den IT-Grundschutz auf ihre Bedürfnisse anpassen können. Beispielsweise ist es denkbar, dass z. B. mehrere kleine Institutionen, Kommunalverwaltungen, Krankenhäuser und sogar Betreiber kritischer Infrastrukturen zentral definieren, welche Empfehlungen für sie essenziell, optional oder verzichtbar sind.

Dazu sind auch modernisierte Bausteine in neu strukturierten IT-Grundschutz-Katalogen erforderlich.

Verschlankung der IT-Grundschutz-Kataloge

Die modernisierten Bausteine des IT-Grundschutzes werden, den Bedürfnissen und den Wünschen der Anwender folgend, angepasst und insgesamt knapper und übersichtlicher. In diesen werden kompakt und ohne Verweise in weitere Bereiche der IT-Grundschutz-Kataloge spezifische Gefährdungen und Sicherheitsanforderungen für den jeweiligen Bereich dargestellt. Dadurch, dass die Anforderungen sich darauf beschränken, aufzuzeigen, was getan werden muss, und keine weiteren Umsetzungsempfehlungen enthalten, lassen sich die modernisierten Bausteine in komprimierter Form auf höchstens zehn Seiten zusammenfassen. Neben den Bausteinen wird es zukünftig Umsetzungshinweise geben, in denen zu den Anforderungen die passenden Sicherheitsmaßnahmen aufgezeigt werden, also wie etwas getan werden kann.

Die Anforderungen der Bausteine werden zukünftig in drei Kategorien gegliedert: Basis-, Standard- und Anforderungen für einen höheren Schutzbedarf. Vorrangig sollten die Basis-Anforderungen umgesetzt werden, da sie mit geringem Aufwand den größtmöglichen Nutzen erzielen. Darauf aufbauend vervollständigen die Standard-Anforderungen den Stand der Technik und adressieren den normalen Schutzbedarf. Ergänzend dazu enthalten die modernisierten Bausteine Beispiele für Sicherheitsanforderungen bei hohem Schutzbedarf.

Interessierte Anwender, die sich ein Bild davon machen möchten, welche Bausteine den modernisierten IT-Grundschutz auszeichnen und wie diese strukturiert sind, finden in der Struktur der Modernisierung (PDF, 522KB, Datei ist nicht barrierefrei) eine erste Übersicht. Diese dient dem BSI als Basis für die Erstellung einer Strukturübersicht als Nachfolger des Schichtenmodells. Diese Mindmap ist ein lebendes Dokument, durch Anregungen von Anwendern ergeben sich immer wieder kleinere Änderungen, z.B. an der Strukturierung oder Titeln von Bausteinen.

Die ersten Bausteine liegen bereits als Arbeitsentwürfe (Community Drafts) vor: Community Drafts

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK